解读-m addrtype --dst-type LOCAL -j DOCKER

最新推荐文章于 2023-08-12 15:16:03 发布
最新推荐文章于 2023-08-12 15:16:03 发布
阅读量3.2k 收藏 4
点赞数
分类专栏: Linux
原文链接:https://blog.csdn.net/watermelonbig/article/details/80319766
版权

比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则:

-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER

从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不是我们要讨论的。

我们主要是分析一下“-m addrtype --dst-type”的数据包匹配规则该做怎样的理解。

首先是,-m addrtype。

iptables提供了众多的扩展模块,以支持更多的功能。addrtype就是这样的一个扩展模块,提供的是Address type match的功能。引用的方式就是 -m 模块名。

对于iptables扩展模块应用的最多的莫过于在INPUT表中的类似下面这个规则了:

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

注:至于conntrack和state两个模块的异同,其实没有什么差别,效果一致。

其次是,–dst-type

我们可以通过查看addrtype模块的使用说明来了解–dst-type选项的使用方法以及取值范围。

# iptables -m addrtype --help
iptables v1.4.21
 
Usage: iptables -[ACD] chain rule-specification [options]
       iptables -I chain [rulenum] rule-specification [options]
       iptables -R chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LS] [chain [rulenum]] [options]
       iptables -[FZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)
 
Address type match options:
 [!] --src-type type[,...]      Match source address type
 [!] --dst-type type[,...]      Match destination address type
     --limit-iface-in           Match only on the packet's incoming device
     --limit-iface-out          Match only on the packet's outgoing device
 
Valid types:           
                                UNSPEC
                                UNICAST
                                LOCAL
                                BROADCAST
                                ANYCAST
                                MULTICAST
                                BLACKHOLE
                                UNREACHABLE
                                PROHIBIT
                                THROW
                                NAT
                                XRESOLVE

从上面的内容可以看到该模块支持按源地址或目标地址类型去做匹配,支持的地址类型有很多种,比如LOCAL表示是本地网络地址,BROADCAST表示匹配广播地址,以及其它各种特殊用途的地址类型。

所以回到开头的那条规则上,其作用就是:把目标地址类型属于主机系统的本地网络地址的数据包,在数据包进入NAT表PREROUTING链时,都让它们直接jump到一个名为DOCKER的链。

原文链接:https://blog.csdn.net/watermelonbig/article/details/80319766

bob62856
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
易语言API取本机IP源码-易语言
06-13
整数型 .ip_type = .hostent->h_addrtype .如果 .ip_type ≠ 2 // AF_INET 对应IPv4 .显示 "非IPv4地址!" .跳转 .否则 .字节型 .ip_address[4] .整数型 .i .对于 .i, .hostent->h_length .ip_address[.i] =...
Delphi如何获取计算机名和IP地址的源码例子.rar
07-10
 memo1.lines.add('地址类型:' chr(p^.h_addrtype 64));  //p^.h_addrtype为1时对应地址类型为A,65为ASCII码A对应的数值  //当返回值p^.h_addrtype为1时地址类型是A,返回2时地址类型是B,以此类推  memo1....
Docker 端口映射问题解决
振宇要低调
07-31 342
  在操作Docker容器时发现了其一个端口映射的BUG,具体表现为:开启容器时做了端口映射80:8080,即宿主机的80端口映射到容器内部的8080Jboss端口。一开始测试也没有什么问题,都可以联通,但经过几次重启之后,突然发现无法访问到Jboss了。代码及容器内部环境没有发生过变化,只能从宿主机外部环境考虑了。   首先,列出nat表所有链的所有规则,只显示IP地址和端口号,如下 [ro...
使用netfilter/iptables时经常能在匹配规则中看到-m addrtype --dst-type这样的内容,何解
watermelonbig的专栏
05-15 9514
比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则:-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不...
【博客696】iptables中的-m addrtype --dst-type含义
最新发布
qq_43684922的博客
08-12 685
m addrtype --dst-type LOCAL其作用就是:把目标地址类型属于主机系统的本地网络地址的数据包,在数据包进入NAT表PREROUTING链时,都让它们直接jump到一个名为DOCKER的链。addrtype就是这样的一个扩展模块,提供的是Address type match的功能。引用的方式就是 -m 模块名。该模块支持按源地址或目标地址类型去做匹配,支持的地址类型有很多种,比如LOCAL表示是本地网络地址,BROADCAST表示匹配广播地址,以及其它各种特殊用途的地址类型。
linux centos7 iptables模块addrtype
梦想是很难很难的,所以先勇敢一点
09-01 668
我们在使用docker容器,,一定会在iptables的NAT表中看到下在这样的一条配置规则: # 把目标地址类型属于主机系统的本地网络地址的数据包, # 在数据包进入NAT表PREROUTING链时,都让它们直接jump到一个名为DOCKER的链 -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER iptables提供了众多的扩展模块,以支持更多的功能。addrtype就是这样的一个扩展模块,提供的是Address type match的功能。引用的
linux--iptables学习总结
gin_yz的博客
07-28 563
pkts:对应规则匹配到的报文的个数。 bytes:对应匹配到的报文包的大小总和。 target:规则对应的target,往往表示规则对应的"动作",即规则匹配成功后需要采取的措施。 prot:表示规则对应的协议,是否只针对某些协议应用此规则。 opt:表示规则对应的选项。 in:表示数据包由哪个接口(网卡)流入,我们可以设置通过哪块网卡流入的报文需要匹配当前规则。 out:表示数据包由哪个接口(网卡)流出,我们可以设置通过哪块网卡流出的报文需要匹配当前规则。 source:表示规则对应的源头地址,可以是.
iptables限制Docker IP和端口访问
SpringLei
07-25 9770
等保整改安全加固时,使用iptabels限制docker端口不生效,限制非docker容器端口可生效。经查阅大量资料,发现Docker容器创建时会自动创建iptables策略,Docker使用的i规则链是DOCKER-USER,所以需使用iptables对DOCKER-USER链做限制。...............
Get Local IP (VB6.0获取本地IP)
07-29
h_addrtype As Integer h_length As Integer h_addr_list(0 To 255) As Long End Type Private Declare Function GetHostByName Lib "ws2_32.dll" Alias "gethostbynameA" (ByVal lpHostName As String) As Long...
Linux 网络域名解析
04-27
printf(" address:%s\n", inet_ntop(pHostEntry->h_addrtype, *pptr, sIp, 18)); printf(" first address: %s\n", inet_ntop(pHostEntry->h_addrtype, pHostEntry->h_addr, sIp, 18)); inet_ntop(pHostEntry->h_...
Tomcat 系统架构(下):聊聊多层容器的设计
小楼一夜听春雨,深巷明朝卖杏花
11-02 464
专栏上一期我们学完了连接器的设计,今天我们一起来看一下 Tomcat 的容器设计。先复习一下,上期我讲到了 Tomcat 有两个核心组件:连接器和容器,其中连接器负责外部交流,容器负责内部处理。具体来说就是,连接器处理 Socket 通信和应用层协议的解析,得到 Servlet 请求,而容器则负责处理 Servlet 请求。我们通过下面这张图来回忆一下。 容器,顾名思义就是用来装载东西的器具,在 Tomcat 里,容器就是用来装载 Servlet 的。那 Tomcat 的 Servlet 容器是如..
理解 Docker 网络(一) -- Docker 对 宿主机网络环境的影响
若即的专栏
03-17 6236
简介 通过 Docker 容器可以实现文件系统, 网络和内核的隔离。 Docker 网络是使用 Docker 的一个很重要的知识点。 在不了解 Docker 网络的情况下使用 Docker 部署应用可能会出现 Docker 容器跨过宿主机防火墙(iptables)的限制直接与取得外网访问权的情况。 在这篇文章中将会分析安装 Docker 对宿主机网络设备和 iptables 两个重要的网络环境的...
linux更改源地址发送数据包,发往Docker容器内的数据包源地址被修改的研究
weixin_39798943的博客
05-14 698
引言此文档是对发往Docker容器内的数据包源地址被修改的研究做的实践记录。实践环境一Centos7.2+Docker1.12.6关闭firewalld:systemctl stop firewalld设置selinux为Permissive模式:setenforce 0/etc/docker/daemon.json内容:{"userland-proxy": true}创建名为python的容器:...
【BUG记录】docker 报错:driver failed programming external connectivity on endpoint
小灰狼与大白兔的博客
02-17 1023
原文地址 docker端口映射或启动容器时报错 Error response from daemon: driver failed programming external connectivity on endpoint seata-server 报错 场景:看错误来判断应该是端口映射或者网络出现了问题,端口映射问题几率较大! 原因: docker服务启动时定义的自定义链DOCKER由于 centos7 firewall 被清掉 firewall的底层是使用iptables进行数据过滤,建立在ipta
Docker网络原理
运维@小兵的博客
07-24 1862
文章目录Docker网络间通信宿主机ping容器,可以正常通信容器ping宿主机,可以正常通信容器ping外网,可以正常通信(前提条件是宿主机能访问外网)容器ping另外一个容器Docker网络常用技术`网络命名空间`网络命名空间的操作`Veth设备对`创建veth设备对实现veth设备对之间的通信常用操作`网桥`把veth0连接到网桥docker1删除网桥理解docker0`iptables和Netfilter``路由`路由表的创建路由表的查看Docker的网络实现`Docker启动后`NAT表filte
wireguard下启用防火墙策略
超级无敌棒棒糖
08-16 1064
wireguard下启用防火墙策略 # 防止未加密走wg PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j RE
iptables防火墙基本概念与基本语法
5L2g556F5ZWl77yf
09-26 1247
一. 防火墙概述。 防火墙由硬件防火墙,软件防火墙,软硬兼容等。防火墙一般部署在网络边缘,作用于过滤某些字符,IP,根据规则,执行:允许,拒绝,转发,丢弃等。防火墙根据其管理的范围右可以分为可以将其划分为主机防火墙和网络防火墙;根据其工作机制来区分又可分为包过滤型防火墙(netfilter)和代理服务器(Proxy)。我们接下来在这篇笔记中主要说说**包过滤型防火墙(netfilter)。 ...
failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: Failed to inject DOCKER in PREROUTING chain: iptables failed: iptables --wait -t nat -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER: iptables: No chain/target/match by that name.
06-08
这个错误通常与Docker网络设置有关。它表示Docker无法创建名为“bridge”的默认网络,因为在设置NAT链时出现了错误。具体来说,这个错误可能是由于iptables配置错误或者iptables未正确安装导致的。你可以尝试重新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值